I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.

Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.

• Cliquez ici pour regarder la vidéo sur YouTube

Dans un environnement on-premise basé sur Active Directory et sans Intune, nous pouvons nous appuyer sur les stratégies de groupe (GPO) :

• Gérer le groupe Administrateurs local par GPO

Mais aujourd'hui, c'est bien la gestion à partir de Microsoft Intune et les options disponibles dans Microsoft Entra ID qui vont nous intéresser !

• Comment débuter avec Intune ?

II. La configuration cible

Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.

En ce qui me concerne, voici la configuration que je souhaite déployer :

Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.

De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.

Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.

• Configurer Windows LAPS avec Intune

III. Le propriétaire de l'appareil est administrateur local

Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.

Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".

• Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)

Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.

• L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)

Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.

Voici un aperçu de ces deux paramètres :

IV. Gérer les administrateurs des appareils : deux solutions

Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :

• Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra

Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.

• Avec une stratégie de sécurité Intune

Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.

V. Préparer le groupe de sécurité Entra ID

À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.

• Accéder au centre d'administration Entra

Validez la création du groupe de sécurité. Nous pouvons passer à la création de la stratégie Intune.

VI. Créer la stratégie Intune

Désormais, nous allons basculer sur le Centre d'administration Microsoft Intune pour créer une nouvelle stratégie.

• Accéder au Centre d'administration Intune

Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.

Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.

Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".

Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.

L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...

Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.

Ensuite, nous devons configurer d'autres paramètres :

• Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
  • Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
  • Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
  • Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
• Type de sélection de l'utilisateur :
  • Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
  • Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
• Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs

Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.

• Microsoft Learn - Manage local groups on Windows devices

Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.

Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.

Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.

Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.

Nous pouvons continuer... Jusqu'à l'étape n°4.

Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".

Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !

VII. Tester la stratégie Intune

La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.

Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.

Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).

Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).

Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).

Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :

$sid = "S-1-12-1-1988770664-1177204149-432340104-2926107448"

Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :

Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae

Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !

Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.

VIII. Conclusion

Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".

Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :

• Configurer Windows LAPS avec Intune
• Configurer Windows LAPS par GPO

The post Intune – Gérer le groupe « Administrateurs » local des machines Windows first appeared on IT-Connect.

Microsoft a apporté une modification importante sur la version Web de son magasin d'applications Microsoft Store. Désormais, vous pouvez directement télécharger les exécutables des applications sur votre PC Windows 10 ou Windows 11. Faisons le point sur ce changement.

C'est par l'intermédiaire de Rudy Huyn, Principal Architect chez Microsoft, que cette mise à jour de la version web du Microsoft Store a été mise en lumière. Désormais, lorsque vous visitez le Microsoft Store dans sa version web, via le site "apps.microsoft.com", vous pouvez directement télécharger l'exécutable d'une application, ce qui fluidifie l'installation d'applications à partir de la version web.

Jusqu'à présent, pour installer une application depuis la version web, il fallait cliquer sur le bouton "Installer", puis cliquer sur "Ouvrir Microsoft Store", et confirmer l'installation avec le bouton "Installer". La présence de ce second bouton installer étant là pour s'assurer que l'installation est initiée par l'utilisateur, et non par un script potentiellement malveillant. Néanmoins, "les feedbacks des utilisateurs ont indiqué que le processus d'installation comportait trop de clics.", peut-on lire dans le tweet posté sur X (Twitter) par Rudy Huyn.

Télécharger l'exécutable d'une application du Microsoft Store

Depuis plusieurs mois, Microsoft travaille sur un changement pour rendre plus simple et plus direct l'installation d'une application depuis la version web. Désormais, le fait de cliquer sur "Installer" permet d'obtenir un package au format ".exe" qui contient le code de l'application et permet de l'installer une fois le téléchargement effectué. Ainsi, nous passons de 3 clics à 2 clics, sans pour autant négliger l'aspect sécurité, car Microsoft a pris des précautions.

L'autre avantage de cette évolution, c'est qu'elle facilite le téléchargement des packages exécutables des applications publiées sur le Microsoft Store. Ainsi, il représente une source fiable pour télécharger des paquets d'installations de nombreuses applications depuis un seul endroit.

Augmenter le nombre d'installations effectuées à partir du Microsoft Store

Si la firme de Redmond a effectué cette modification, c'est également pour qu'il y ait un meilleur taux de conversion pour qu'il y ait plus d'installations.

Une enquête a été menée sur les 5 derniers mois et voici les résultats observés par Microsoft : "Cette nouvelle méthode d'installation des applications du magasin a entraîné, en moyenne, une augmentation de 12 % des installations et de 54 % du nombre d'applications lancées après l'installation."

Les résultats étant positifs, Microsoft a pris la décision d'étendre la disponibilité de cette nouveauté à tous les utilisateurs de Windows 10 et Windows 11.

Source

The post À partir de la version web du Microsoft Store, vous pouvez télécharger les exécutables d’applications ! first appeared on IT-Connect.

Ce mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036892 pour Windows 10 21H2 et Windows 10 22H2 dans le but d'apporter 23 changements et plusieurs nouveautés ! Faisons le point !

Au-delà d'intégrer des correctifs de sécurité, cette nouvelle mise à jour cumulative obligatoire pour Windows 10 apporte différents changements. Voici ceux mis en avant par Microsoft :

• Nouveauté : cette mise à jour ajoute Windows Spotlight au fond d'écran, dans le but d'utiliser de nouvelles images récupérées sur Bing en tant que fond d'écran. Cette fonctionnalité peut être activée dans les paramètres de fond d'écran du système.
• Nouveauté : cette mise à jour ajoute plus de contenu à votre écran de verrouillage. En plus de la météo, des informations sur les sports, la circulation et les finances s'afficheront. Cette fonctionnalité peut être activée dans les paramètres d'écran de verrouillage du système.
• Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
• Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
• Correctif : cette mise à jour résout un problème qui affecte le clavier tactile. Il arrive qu'il ne s'ouvre pas.

Il est à noter qu'après l'installation de cette mise à jour, Windows 10 va vous inviter à passer à Windows 11, à condition que votre appareil soit éligible pour la mise à niveau. Ce message s'affichera au moment de la connexion à une session.

Pour en savoir plus sur tous les bugs corrigés, consultez la page dédiée à la mise à jour KB5035941 publiée le 26 mars 2024. Il s'agit de la mise à jour optionnelle donnant un aperçu des changements apportés par Microsoft avec la nouvelle mise à jour KB5036892 et, elle fait office de "journal des modifications".

À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)
• Patch Tuesday d'avril 2024 de Microsoft

Windows 10 : les KB d'Avril 2024

Voici la liste des mises à jour publiées par Microsoft :

• Windows 10 21H2 et 22H2 : KB5036892
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5036896
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5036899
• Windows 10 version 1507 : KB5036925

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Pour rappel, le support de Windows 10 21H2 Enterprise, Windows 10 Enterprise multi-session et Windows 10 Education prendra fin en juin prochain :

• Fin du support de Windows 10 21H2 Enterprise

The post Windows 10 KB5036892, que contient la mise à jour d’avril 2024 ? first appeared on IT-Connect.

Microsoft a mis en ligne la mise à jour KB5035941 pour Windows 10 22H2 dans le but de corriger différents bugs, dont celui qui affecte SYSPREP depuis plusieurs mois et qui est à l'origine de l'erreur 0x80073cf2. Faisons le point.

Rappel sur l'erreur 0x80073cf2

Pour rappel, l'outil SYSPREP intégré à Windows est utilisé par les administrateurs système pour "généraliser" le système, afin qu'il soit prêt pour le déploiement à grande échelle. Récemment, nous l'avons exploité avec MDT dans une tâche de Sysprep and Capture.

• Windows 10 : les mises à jour récentes à l'origine de l'erreur 0x80073cf2 avec SYSPREP

SYSPREP sur Windows 10 est affecté par une erreur faisant suite à l'installation de la mise à jour KB5032278 publiée le 30 novembre 2023 par Microsoft, ou une mise à jour plus récente puisque ce bug n'était pas résolu depuis. Résultat : lorsqu'un administrateur essaie d'utiliser l'outil SYSPREP sur une machine Windows 10, il est confronté à l'erreur 0x80073cf2 !

Microsoft, sur son site, avait précisé ce qui suit en janvier 2024 : "Après l'installation des mises à jour publiées le 30 novembre 2023 KB5032278 (ou plus tard), certains appareils Windows peuvent ne pas être en mesure de terminer la préparation à l'aide de l'outil de préparation du système (Sysprep.exe) en raison de problèmes liés à l'état d'un paquet Microsoft Edge." - Le code d'erreur 0x80073cf2, associé à ce problème, est visible dans le fichier journal "setupact.log" de Windows.

La solution proposée par Microsoft

Jusqu'ici, pour contourner le problème, les administrateurs devaient supprimer le package "Microsoft.MicrosoftEdge" puisqu'il est à l'origine de ce problème. Ceci impliquait l'exécution d'une commande PowerShell pour effectuer cette opération. Désormais, la solution est prête à l'emploi parce que ce correctif a été introduit dans la mise à jour KB5035941. Il s'agit d'une mise à jour optionnelle, car c'est un aperçu des correctifs qui seront disponibles le mardi 9 avril 2024 (Patch Tuesday d'avril 2024).

"Ce problème a été résolu dans les mises à jour publiées à partir du 26 mars 2024 (KB5035941).", peut-on lire sur le site de Microsoft.

Cette mise à jour est disponible par l'intermédiaire du catalogue Microsoft Update, mais aussi via Windows Update, à condition d'avoir activé l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles". Sinon, patientez quelques jours, car les nouvelles mises à jour cumulatives sont prévues pour cette semaine.

The post Windows 10 : Microsoft a corrigé le problème Sysprep associé à l’erreur 0x80073cf2 ! first appeared on IT-Connect.

À partir du 14 octobre 2025, la majorité des éditions de Windows 10 ne seront plus prises en charge par Microsoft. Il sera toujours possible de bénéficier des mises à jour de sécurité grâce au programme Extended Security Updates (ESU). Désormais, nous connaissons le tarif de ces futures mises à jour !

Rappel sur la fin du support de Windows 10

Windows 10 22H2 est actuellement la dernière version de Windows 10, et il n'y en aura pas d'autres puisque Microsoft se concentre sur Windows 11, et prépare surement Windows 12 en toute discrétion. Nous savons depuis longtemps que le support prendra fin le 14 octobre 2025, ce qui signifie que tout le monde peut bénéficier des mises à jour mensuelles, de façon gratuite.

Il y a tout de même des exceptions : les éditions LTSC de Windows, ainsi que celles pour l'IoT, qui sont généralement utilisées sur les appareils médicaux ou industriels. Par exemple, le support de Windows 10 Enterprise LTSC 2019 prendra fin le 9 janvier 2029. Toutes les dates sont fournies sur cette page.

Les tarifs du programme Extended Security Updates (ESU)

Pour les utilisateurs de Windows 10 qui ne peuvent pas ou ne veulent pas passer sur Windows 11, et qui souhaitent rester sur Windows 10 après le 14 octobre 2025, il y a une option payante : le programme Extended Security Updates (ESU). Grâce à lui, votre machine peut bénéficier des mises à jour de sécurité. Ce programme sera accessible pour les particuliers et les professionnels.

Le programme ESU se présente sous la forme d'un abonnement annuel qu'il est possible de renouveler au maximum pendant 3 ans.

Voici les tarifs prévus par Microsoft :

• 61 dollars par appareil pour bénéficier de 12 mois de support étendu, pour la première année (c'est le même tarif que pour Windows 7)
• 122 dollars par appareil pour bénéficier de 12 mois de support supplémentaire, soit une deuxième année
• 244 dollars par appareil pour bénéficier de 12 mois de support supplémentaire, soit une troisième année

"Le prix doublera chaque année consécutive, pour un maximum de trois ans. Si vous décidez d'intégrer le programme au cours de la deuxième année, vous devrez également payer pour la première année, car les ESU sont cumulatives.", peut-on lire sur le site de Microsoft.

Au total, pour un seul appareil Windows 10, il faudra débourser 427 dollars pour bénéficier du support étendu, incluant les mises à jour de sécurité, pendant 3 ans. Un tarif qui devrait dissuader beaucoup d'organisations, mais de toute façon, l'ESU est surtout une solution temporaire.

La stratégie de Microsoft est claire : inciter les utilisateurs à passer sur Windows 11. Ceci vous évitera de jeter de l'argent par les fenêtres.

Si vous utilisez Microsoft Intune ou Windows Autopatch, sachez que Microsoft pourra vous accorder une réduction de 25% sur le tarif. Ainsi, la première année passerait de 61 dollars à 45 dollars par appareil. Par ailleurs, si vous utilisez la solution de Cloud PC "Windows 365" et que vos utilisateurs s'y connectent à partir d'un Windows 10, Microsoft vous offrira les licences ESU pour ces machines.

The post Voici le prix pour bénéficier des mises à jour de sécurité Windows 10, après le 14 octobre 2025 first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.

Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.

• Cliquez ici pour regarder la vidéo sur YouTube

La configuration déployée avec notre stratégie vise à :

• Activer le pare-feu Windows Defender sur tous les profils (privé, public, domaine)
• Autoriser les flux sortants par défaut
• Bloquer les flux entrants par défaut
• Définir la taille du journal du pare-feu à 16 384 Ko (pour avoir plus de matière en cas de besoin de ce journal pour une analyse)
• Configurer les paramètres d'audit

Remarque : la fonctionnalité de pare-feu de Microsoft Intune permet de gérer les règles du pare-feu système de Windows et macOS.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

• Microsoft Learn - Firewall CSP
• Microsoft Learn - Firewall policy for endpoint security in Intune

Ainsi que ces tutoriels :

• Comment débuter avec Intune ?
• Comment créer une règle de pare-feu Windows Defender avec Intune ?

II. Créer la stratégie de pare-feu

Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

• intune.microsoft.com

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".

Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".

Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :

• Pare-feu
• Gestionnaire de listes réseau
• Audit

Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.

Par exemple, pour le profil de domaine, ce sont les paramètres suivants :

A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.

Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :

Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Suivez l'assistant jusqu'à la création de la stratégie.

A la fin, celle-ci apparaît bien dans Intune :

Désormais, nous allons tester cette stratégie sur un appareil Windows 11.

III. Tester sur un appareil Windows

Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.

Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.

Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.

Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.

Notre stratégie de pare-feu Windows Defender est opérationnelle !

IV. Conclusion

Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.

Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :

The post Intune – Comment configurer le pare-feu Windows ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.

En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.

Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.

• Cliquez ici pour regarder la vidéo sur YouTube

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

• Microsoft Learn - Firewall CSP
• Microsoft Learn - Firewall policy for endpoint security in Intune

Ainsi que ces tutoriels :

• Comment débuter avec Intune ?
• Comment gérer le pare-feu Windows Defender avec Intune ?

II. Créer une règle de pare-feu Windows avec Intune

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

• intune.microsoft.com

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".

Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.

Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.

Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).

Nous allons commencer par configurer ces trois paramètres :

• Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
• Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
• Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)

Un peu plus bas, configurez également ces paramètres :

• Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
• Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
• Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
• Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).

Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.

Configurez l'étape "Balises d'étendue" si besoin, sinon passez.

A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Poursuivez jusqu'à la fin et créez la stratégie...

En résumé, voici le contenu de la règle définie dans la stratégie :

Passons aux tests sur un appareil Windows 11 !

III. Tester la stratégie

Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).

Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.

À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil

Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.

IV. Conclusion

En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !

The post Intune – Comment créer une règle de pare-feu Windows Defender ? first appeared on IT-Connect.

Sur le Web, de nombreux utilisateurs se plaignent de ne pas parvenir à installer la mise à jour KB5035849 sur Windows 10 et Windows Server. Il s'agit de la mise à jour publiée par Microsoft le 12 mars 2024. Que se passe-t-il ?

• Windows 10 KB5035845, que contient la mise à jour de mars 2024 ?

Si vous cherchez à installer la mise à jour KB5035849 sur Windows 10 ou Windows Server 2019 et que vous obtenez l'erreur "0xd0000034", sachez que vous n'êtes pas seul. Ce fil de discussion sur Reddit contient de nombreux messages qui évoquent cette erreur, et par conséquent, l'installation de la mise à jour échoue.

D'ailleurs, cette erreur se produit lorsque l'on cherche à installer la mise à jour directement à partir de Windows Update, en local sur la machine. Si vous utilisez un serveur WSUS, la mise à jour doit s'installer correctement : "J'ai eu le même problème (0xd0000034) avec 'Vérifier les mises à jour en ligne', mais les versions WSUS de celles-ci semblent s'installer sans problème.", peut-on lire sur Reddit.

En résumé, l'installation échoue avec Windows Update, mais elle fonctionne avec WSUS, et d'autres outils comme ConfigMgr.

Remarque : cette mise à jour s'adresse uniquement à Windows Server 2019 et à Windows 01 version 1809 (LTSC).

Comment résoudre ce problème ?

Pour le moment, la solution consiste à installer la mise à jour sans passer directement sans Windows Update. Pour cela, la mise à jour doit être téléchargée à partir du site Microsoft Update Catalog, puis installée manuellement à l'aide du package "msu" obtenu.

Pour le moment, il n'y a pas d'alerte de sécurité particulière associée à cette nouvelle mise à jour (aucune zero-day, etc.), donc vous pouvez également patienter le temps que Microsoft propose une solution à ce problème. Si vous n'utilisez pas de WSUS ou une solution de ce type, c'est probablement le meilleur choix à faire.

Source

The post Windows 10 et Windows Server 2019 – Erreur d’installation avec la mise à jour KB5035849 first appeared on IT-Connect.

Il y a quelques heures, Microsoft a mis en ligne les nouvelles mises à jour cumulatives pour Windows 10, notamment la KB5035845 qui s'adresse aux versions les plus récentes : 21H2 et 22H2. Faisons le point sur le contenu de cette mise à jour.

Pour en savoir plus sur le contenu de cette mise à jour, il faut se référer aux détails fournit par Microsoft sur la page dédiée à la version "Preview" de cette mise à jour, à savoir la KB5034843. L'entreprise américaine précise ce qui suit :

• La fonctionnalité de partage de Windows évolue, afin de permettre de partager directement des URL avec des applications telles que WhatsApp, Gmail, Facebook et LinkedIn. Le partage vers X (anciennement Twitter) sera bientôt disponible. Ceci correspond à une nouveauté également ajoutée à Windows 11 Moment 5.
• Cette mise à jour concerne les jeux que vous installez sur un disque secondaire. Désormais, ils restent installés sur le disque.
• Cette mise à jour concerne l'application Sauvegarde Windows. Elle ne s'affichera plus sur l'interface utilisateur dans les régions où l'application n'est pas prise en charge.

Par ailleurs, Microsoft indique avoir résolu d'autres bugs qui affectaient les sessions Azure Virtual Desktop, mais aussi l'authentification Windows Hello for Business. "Cette mise à jour résout un problème qui affecte Windows Hello for Business. Vous ne pouvez pas l'utiliser pour vous authentifier auprès de Microsoft Entra ID sur certaines applications. Cela se produit lorsque vous utilisez Web Access Management (WAM).", peut-on lire.

La firme de Redmond en a profité pour rappeler que le support de Windows 10 21H2 Enterprise et Education prenait fin en juin prochain :

• Fin du support de Windows 10 21H2 Enterprise

Windows 10 : les KB de mars 2024

Voici la liste des nouvelles mises à jour publiées par Microsoft :

• Windows 10 21H2 et 22H2 : KB5035845
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5035849
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5035855
• Windows 10 version 1507 : KB5035858

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Pour rappel, Microsoft a corrigé 60 failles de sécurité dans plusieurs produits et services, dans le cadre de son Patch Tuesday de Mars 2024.

• Patch Tuesday Microsoft de Mars 2024

The post Windows 10 KB5035845, que contient la mise à jour de mars 2024 ? first appeared on IT-Connect.

Microsoft a mis en ligne un nouveau document pour rappeler aux utilisateurs de Windows 10 que le support de la version 21H2 prendra fin le 11 juin 2024. Voici ce que cela signifie !

Ce n'était pas un secret, car depuis le jour où cette version de Windows 10 est sortie, nous connaissons les dates de fin de prise en charge des différentes éditions. Mais, la nouvelle page de support publiée par Microsoft est l'occasion d'effectuer une piqûre de rappel sur le sujet.

Windows 10 version 21H2, que l'on appelle aussi "Windows 10 November 2021 Update", est disponible depuis le 16 novembre 2021, et à compter du 11 juin 2024, cette version de Windows 10 ne recevra plus de mise à jour de sécurité. D'ailleurs, c'est précisément à cette même date que Microsoft publiera le dernier Patch Tuesday pour Windows 10 21H2, c'est-à-dire la dernière mise à jour cumulative, avec les ultimes correctifs de sécurité.

Ce rappel s'applique aux éditions suivantes :

• Windows 10 Enterprise, version 21H2
• Windows 10 Enterprise multi-session, version 21H2
• Windows 10 Education, version 21H2
• Windows 10 IoT Enterprise, version 21H2

En effet, pour les éditions Pro et Famille (Home), Windows 10 21H2 n'est déjà plus pris en charge depuis le 13 juin 2023. Soit un an plus tôt, vis-à-vis des éditions concernées directement par cet article.

Si vous utilisez toujours cette version de Windows 10, vous devez envisager de passer sur Windows 10 22H2, ou directement sur Windows 11 23H2. En effet, Windows 10 version 22H2 sera encore pris en charge par Microsoft jusqu'au 14 octobre 2025. Cette version est d'ailleurs disponible pour tous les utilisateurs qui le souhaitent.

"Les clients qui contactent le support Microsoft après cette date seront invités à mettre à jour leur appareil vers la dernière version de Windows 10 ou à passer à Windows 11 pour continuer à bénéficier de la prise en charge.", précise Microsoft.

The post Windows 10 21H2 Enterprise : le support prendra fin en juin 2024 ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons effectuer le durcissement de configuration de machines sous Windows à l'aide d'un outil open source nommé HardeningKitty. Autrement dit, nous allons analyser la configuration de notre machine pour voir si elle répond aux bonnes pratiques en matière de sécurité.

Ceci est nécessaire car la configuration par défaut d'un système d'exploitation, que ce soit Linux ou Windows, n'est pas en adéquation avec les bonnes pratiques de sécurité. Certaines recommandations peuvent être trop contraignantes et la configuration doit être adaptée en tenant compte du contexte et des besoins de l'entreprise. Ainsi, c'est à l'administrateur système de faire le nécessaire pour améliorer la sécurité des postes de travail et des serveurs. Le hardening, ou durcissement, va permettre de réduire la surface d'attaque d'une machine.

Dans cet exemple, nous allons durcir la configuration d'un serveur Windows Server 2022, mais la procédure est identique pour une machine Windows 10 ou Windows 11 (d'ailleurs Windows 11 est utilisé pour la vidéo), ainsi que pour des versions plus anciennes de Windows Server. L'essentiel étant de récupérer l'image ISO d'installation depuis le site officiel de l'éditeur, en l'occurrence ici : Microsoft.

• Cliquez ici pour regarder la vidéo sur YouTube

II. Les guides de bonnes pratiques pour Windows

Vers qui se tourner pour obtenir des informations sur ces fameuses bonnes pratiques de configuration pour améliorer la sécurité de Windows ?

A. Microsoft Security Baselines

Tout d'abord, il faut savoir que Microsoft propose un ensemble de documents baptisés "Microsoft Security baseline" et correspondants à chaque version de Windows, Windows Server, et certaines applications comme le navigateur Microsoft Edge.

À chaque fois, Microsoft propose une documentation pour lister chaque paramètre à configurer et de quelle façon. Celle-ci est accompagnée par des modèles de GPO, ainsi que des modèles d'administration pour ces mêmes GPO (ADMX), et des scripts PowerShell.

Vous pouvez télécharger ces documents via ce lien.

B. Les guides du CIS Benchmark

Le CIS (Center for Internet Security) propose un ensemble de guides de bonnes pratiques pour de nombreux produits et services : Windows, Windows Server, Debian, Cisco, Apache, Fortinet, Google Chrome, Google Workspace, Kubernetes, SQL Server, VMware, Azure, etc... Ces guides, maintenus à jour au fil des versions, ont une excellente réputation. Ils sont très souvent utilisés comme référence lorsque l'on souhaite durcir la configuration d'un système ou d'une application.

Vous pouvez télécharger ces guides gratuitement, après avoir complété un formulaire où l'on vous demandera quelques informations vous concernant.

Si l'on prend l'exemple du guide dédié à Windows Server 2022, il contient 1065 pages. Pour chaque paramètre de configuration à modifier, vous avez une description, des notes, une explication (quel est l'intérêt d'activer / configurer tel paramètre), et les impacts potentiels. Il existe également des versions estampillées STIG (Security Technical Implementation Guide) où il y a un focus supplémentaire sur la partie cybersécurité.

Très intéressant, mais rapidement chronophage.

Vous pouvez télécharger ces guides via cette page.

C. Les autres ressources

Au-delà des ressources proposées par Microsoft et les guides du CIS, nous pouvons compter sur ceux d'autres organisations et entités : l'ANSSI en France, la BSI en Allemagne (l'équivalent de l'ANSSI), la CISA aux Etats-Unis, etc...

Mais à chaque fois, vous ferez surement le même constat :

• Comment comparer les recommandations d'un guide avec la configuration d'un serveur ou d'un poste de travail ?
• Comment configurer un serveur ou un poste de travail afin de respecter les bonnes pratiques sans devoir y passer "un temps fou" ?

C'est exactement pour répondre à ces deux problématiques que vous devez vous intéresser à HardeningKitty.

III. Découverte de HardeningKitty

A. HardeningKitty, c'est quoi ?

HardeningKitty est un outil gratuit que vous pouvez utiliser à la fois pour auditer la configuration de votre système et effectuer le durcissement de celle-ci. HardeningKitty est capable de s'appuyer sur la liste de recommandations de l'auteur de l'outil, mais également d'autres "security baselines" comme celles de Microsoft et du CIS. Ainsi, vous allez pouvoir automatiser le hardening de Windows 10, Windows 11, Windows Server, etc.

Le durcissement va modifier différents composants et services de votre système d'exploitation dans le but de réduire la surface d'attaque (ASR), configurer les journaux d'audit de Windows, configurer le pare-feu Windows Defender, activer / désactiver / configurer certaines fonctionnalités, etc. Dans une grande majorité des cas, HardeningKitty modifie le Registre pour effectuer la configuration.

Pour accéder au projet HardeningKitty sur GitHub, il y a deux liens. Un lien vers le projet source d'origine, et un lien vers un autre dépôt où vous pouvez retrouver chaque version stable signée par le certificat de scip AG. Ceci signifie que le script PowerShell d'HardeningKitty peut être exécuté sur une machine Windows même si elle autorise uniquement l'exécution de scripts signés (ceci fait écho à la stratégie d'exécution PowerShell).

• HardeningKitty - GitHub - Projet d'origine
• HardeningKitty - GitHub - Versions signées

B. Prenez des précautions

Avant d'effectuer des modifications en masse sur votre machine Windows, il est primordial d'assurer vos arrières. Autrement dit, prenez les précautions habituelles : testez les modifications sur un environnement de tests et vérifiez vos sauvegardes.

Au-delà de permettre l'audit de la configuration d'une machine, HardeningKitty peut déployer la nouvelle configuration durcie. Forcément, ceci peut être à l'origine d'un ou plusieurs effets de bords. Nous verrons également qu'il y a une fonction de "backup" dans HardeningKitty.

Remarque : vous pouvez aussi envisager d'effectuer une sauvegarde de la base de Registre Windows, et même créer un snapshot s'il s'agit d'une machine virtuelle.

IV. Utilisation d'HardeningKitty sur Windows

A. Télécharger HardeningKitty

Commencez par télécharger la dernière version signée depuis GitHub. Pour ma part, il s'agit de la version 0.9.2. Vous obtenez une archive ZIP qu'il suffit de décompresser afin d'obtenir un ensemble de fichiers, notamment le module PowerShell correspondant à HardeningKitty.

Notez également la présence du dossier "lists" qui contient un ensemble de fichiers CSV : un fichier CSV par liste de bonnes pratiques supportées par l'outil.

Nous avons à chaque fois deux fichiers CSV : un pour les paramètres de l'ordinateur (machine) et un pour les paramètres de l'utilisateur (user).

B. Sauvegarde de la configuration actuelle

Avant même d'auditer notre configuration ou d'effectuer la moindre modification sur le système, nous allons sauvegarder l'état actuel. Attention, quand vous utilisez HardeningKitty, vous devez effectuer une sauvegarde correspond à la liste ou aux listes que vous envisagez de "déployer" par la suite.

Dans cet exemple, nous allons utiliser ces deux listes :

• CIS Microsoft Windows Server 2022 (Machine) - 22H2 - 2.0.0
  • Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv
• CIS Microsoft Windows Server 2022 (User) - 22H2 - 2.0.0
  • Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv

Ouvrez une console PowerShell en tant qu'administrateur afin de pouvoir utiliser l'outil.

Positionnez-vous dans le répertoire d'HardeningKitty et importez le module :

cd C:\users\Administrateur\Downloads\HardeningKitty-v.0.9.2\
Import-Module .\HardeningKitty.psm1

Pour effectuer la sauvegarde des paramètres machines et utilisateurs pour les listes évoquées ci-dessus, utilisez ces commandes :

# Paramètres machine
Invoke-HardeningKitty -Mode Config -Backup -BackupFile ".\Backup_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_Machine.csv" -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"
# Paramètres utilisateur
Invoke-HardeningKitty -Mode Config -Backup -BackupFile ".\Backup_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_User.csv" -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

À chaque fois, nous obtiendrons un fichier de "sauvegarde" au format CSV dont le nom sera constitué de la façon suivante :

• Backup_<nom de l'ordinateur>_<Date et heure actuelle>_<Machine ou User>.csv

Quelques secondes ou minutes sont nécessaires pour effectuer la sauvegarde.

Quand c'est fait, nous obtenons deux fichiers :

C. Auditer la configuration de la machine

La sauvegarde de la configuration étant effectuée, nous allons pouvoir auditer notre machine. Là encore, nous allons bien spécifier les noms des listes que nous souhaitons utiliser comme référence.

HardeningKitty doit être utilisé en mode "Audit" :

# Audit des paramètres machine
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"
# Audit des paramètres utilisateur
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

À chaque fois, HardeningKitty indique une note globale ainsi que le nombre de paramètres vérifiés et les résultats associés. Ici, nous pouvons qu'il y a eu 459 paramètres vérifiés et qu'il y en a 312 points de configuration à améliorer. L'idée étant de se concentrer en priorité sur ceux considérés comme "Medium" et "High". Imaginez un instant effectuer toutes ces corrections manuellement...

Your HardeningKitty score is: 3.57. HardeningKitty Statistics: Total checks: 459 - Passed: 147, Low: 43, Medium: 269, High: 0.

Le résultat dépend clairement de la liste utilisée. En effet, sur une même machine, mais avec la liste de vérification par défaut de l'outil (qui est le fruit de l'expertise de l'auteur de cet outil - Elle est estampillée Windows 10 !), le score obtenu est totalement différent :

Your HardeningKitty score is: 3.22. HardeningKitty Statistics: Total checks: 391 - Passed: 79, Low: 68, Medium: 243, High: 1.

Si l'on s'appuie sur la liste de Security Baseline de Microsoft pour Windows Server 2022, en prenant la configuration adaptée pour les contrôleurs de domaine (ici, l'outil est utilisé sur un DC), le résultat est encore différent :

# Exécuter l'audit :
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_msft_security_baseline_windows_server_2022_21h2_dc_machine.csv"

# Résultat obtenu :
Your HardeningKitty score is: 3.2. HardeningKitty Statistics: Total checks: 328 - Passed: 74, Low: 27, Medium: 227, High: 0.

• Nommer le rapport d'audit

Afin de pouvoir effectuer une analyse et avoir un bon aperçu de l'état actuel de la configuration du serveur, il est préférable de générer un rapport d'audit. Ceci est déjà le cas avec le paramètre "-Report". HardeningKitty va générer un fichier CSV que l'on pourra exploiter dans Excel.

Pour créer un rapport avec le nom de votre choix, ajoutez le paramètre "-ReportFile" suivi du nom du fichier. Nous allons réutiliser la même logique pour le nom du fichier de rapport. Voici un exemple :

Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_msft_security_baseline_windows_server_2022_21h2_dc_machine.csv" -ReportFile ".\Audit_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_Machine.csv"

En sortie, le fichier suivant est obtenu :

Audit_SRV-ADDS-01_20240228-1259_Machine.csv

Si nous l'ouvrons avec Excel, nous pouvons appliquer différents filtres, un tri, etc... pour analyser les résultats.

• Affiner l'audit avec un filtre

Si vous souhaitez effectuer un audit en tenant compte uniquement des points dont la sévérité est élevée, vous pouvez ajouter un filtre comme ceci :

Invoke-HardeningKitty -Filter { $_.Severity -eq "High" } -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"

Lorsque la phase d'audit est terminée, vous pouvez passer à l'action : demander à HardeningKitty de durcir la configuration de votre machine.

Remarque : comment est calculé le score d'audit ? Sachez que la formule utilisée pour calculer le score d'HardeningKitty est la suivante : (Points obtenus / Maximum de points) * 5 + 1.

D. Durcir la configuration de la machine

Pour durcir la configuration de la machine Windows Server 2022, nous utilisons le mode "HailMary" (Ave Maria). A ce sujet, la documentation officielle précise : "La méthode HailMary est très puissante. Elle peut être utilisée pour déployer une liste de résultats sur un système. Tous les résultats sont placés sur ce système selon les recommandations de la liste. Le pouvoir s'accompagne de la responsabilité. N'utilisez ce mode que si vous savez ce que vous faites. Assurez-vous d'avoir une copie de sauvegarde du système."

Le mode HailMary va nous permettre de déployer tous les paramètres de configuration contenus dans les deux listes que nous avons choisi d'utiliser.

• Voici la commande à exécuter pour déployer les paramètres ordinateurs :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"

• Voici la commande à exécuter pour déployer les paramètres utilisateurs :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

Sachez qu'avant d'effectuer des modifications sur votre machine, HardeningKitty va créer un point de restauration. Si le point de restauration ne peut pas être créé, ce qui sera le cas sur Windows Server car il faut utiliser la Sauvegarde Windows à la place, l'opération est arrêtée immédiatement. Nous devons donc réexécuter les commandes avec le paramètre "-SkipRestorePoint".

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv" -SkipRestorePoint

À chaque fois, et puisque nous avons précisé les paramètres "-Log" et "-Report", un fichier journal et un fichier de rapport (CSV) seront générés. Le fichier de log reprend toutes les lignes visibles dans la console. Voici un extrait du fichier journal "hardeningkitty_log_srv-adds-01_finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine-20240228-113957.log" :

[*] 28/02/2024 11:40:15 - Starting Category Administrative Templates: Windows Components
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry key created
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry value created/modified
ID 18.10.89.1.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.1.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowDigest, Registry value created/modified
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry key created
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry value created/modified
ID 18.10.89.2.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowAutoConfig, Registry value created/modified
ID 18.10.89.2.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.2.4, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, DisableRunAs, Registry value created/modified

Mais, priorisez la lecture du rapport avec Excel, ou un autre outil, pour l'analyse post-hardening. Ce rapport permet d'avoir une liste exhaustive des changements de configuration effectués.

Par la suite, si vous avez besoin de revenir en arrière, vous pouvez restaurer la configuration via cette commande (en adaptant le nom du fichier CSV) :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\Backup_SRV-ADDS-01_20240228-1128_user.csv" -SkipRestorePoint

V. Conclusion

Si vous souhaitez durcir la configuration de vos machines en vous appuyant sur les recommandations de Microsoft, du CIS, du BSI, ou du DoD, alors HardeningKitty est probablement l'outil qu'il vous faut ! L'utilisation de cet outil devrait vous permettre de gagner énormément de temps. Néanmoins, vous devez prendre le temps d'analyser le contenu de ces guides et devez avoir une bonne connaissance de votre infrastructure et de ses particularités. Ceci vous permettra d'anticiper les éventuels effets de bords.

D'ailleurs, si vous envisagez de déployer la configuration recommandée par le CIS Benchmark, vous devez parcourir chaque guide afin d'avoir un aperçu des fonctions et services de Windows qui seront affectés lorsque le déploiement sera fait avec HardeningKitty. Cette recommandation s'applique également pour les autres guides.

Le seul bémol, c'est le fait qu'il soit nécessaire de l'exécuter machine par machine : ce qui pourra s'avérer utile lors de la création d'un master (image de référence) pour vos postes de travail ou serveur. En effet, ceci vous permettra de créer une image durcie.

HardeningKitty intègre bien un paramètre mode "GPO" (-Mode GPO) permettant de convertir une liste de résultats en une stratégie de groupe (GPO). Toutefois, ceci semble encore expérimental : "Pour l'instant, seuls les paramètres de registre peuvent être convertis et tout n'a pas encore été testé."

• Audit de sécurité Linux avec Lynis

The post Cybersécurité : durcir la configuration de Windows et Windows Server avec HardeningKitty first appeared on IT-Connect.

L'installation de la mise à jour KB5001716 pose un problème sur certains ordinateurs sous Windows 10. L'installation échoue et affiche une erreur : 0x80070643. Voici comment vous pouvez résoudre cette erreur afin de parvenir à installer la mise à jour !

Qu'est-ce que la mise à jour KB5001716 ?

Commençons tout d'abord par présenter la KB5001716, car il y a une réelle confusion autour de cette mise à jour. Sachez qu'elle sert à améliorer le service Windows Update, en charge de l'installation des mises à jour. Ce dernier semble en avoir bien besoin, car il ne parvient même pas à accueillir la mise à jour censée l'améliorer.

Ensuite, il faut savoir que derrière ce numéro de KB se cache en réalité une mise à jour diffusée par Microsoft depuis plusieurs années. Au fil des versions de Windows 10 et des années, Microsoft a fait évoluer cette mise à jour qui contient un numéro de version interne.

Maintenant, nous allons évoquer le problème rencontré par les utilisateurs et voir comment le résoudre.

Erreur d'installation de la KB5001716 : 0x80070643

Lors de l'installation de cette mise à jour, l'erreur suivante peut être renvoyée par Windows Update : "Des problèmes sont survenus lors de l'installation des mises à jour, mais nous réessaierons ultérieurement. Si le problème persiste et que vous souhaitez rechercher des informations sur Internet ou contacter l'assistance pour en obtenir, ceci peut vous aider : (0x80070643)."

Ce fameux message d'erreur est également visible dans l'Observateur d'événements de Windows. Et à cet endroit, la mise à jour apparaît sous le nom "2023-10 Update for Windows 10....(KB5001716)", qui laisse entendre qu'elle date d'octobre 2023. Pourtant, elle a bien été publiée en mars 2024.

Ces derniers jours, ce problème est reporté par de nombreux utilisateurs sur le Web.

Comment installer la mise à jour KB5001716 sur Windows 10 ?

Sachez que si vous n'avez pas installé la KB5001716 d'octobre 2023, alors vous pourrez installer cette nouvelle version sans aucun problème ! Par contre, si vous rencontrez cette erreur, c'est probablement que vous avez déjà la mise à jour sur votre machine.

Dans ce cas, comme l'explique cet utilisateur sur Reddit, la solution consiste à désinstaller l'ancienne mise à jour installée en octobre 2023, dans le but de pouvoir installer la nouvelle version.

Voici les étapes à suivre :

1. Cliquez sur le bouton du menu Démarrer.
2. Accédez aux "Paramètres" de votre PC.
3. Cliquez sur le menu "Applications", puis quand vous y êtes, cliquez sur le sous-menu "Applications et fonctionnalités".
4. Recherchez la mise à jour KB5001716, qui doit être associée au numéro de version "8.94.0.0".
5. Cliquez sur la mise à jour pour la sélectionner et cliquez sur "Désinstaller".

Une fois que la mise à jour est désinstallée, vous allez pouvoir installer la nouvelle version de la mise à jour KB5001716 !

Source

The post Windows 10 et la mise à jour KB5001716 – Comment résoudre l’erreur 0x80070643 ? first appeared on IT-Connect.

Vous utilisez Windows 10 Pro ? Sachez que d'ici peu, Microsoft va probablement vous inviter à passer sur Windows 11 ! Dans certains cas, ceci peut également concerner les entreprises. Voici ce qu'il faut savoir.

Sur son site, Microsoft a mis en ligne un nouveau message intitulé "Élargir les invitations à passer à Windows 11 à un plus grand nombre de personnes". Que précise-t-il ? Concrètement, à partir d'avril 2024, après avoir installé la future mise à jour Windows 10 qui sortira le mois prochain, un nouveau message apparaîtra après l'ouverture de la session ou après un redémarrage afin de vous inviter à passer sur Windows 11.

Le message diffusé sur les appareils Windows 10 indiquera à l'utilisateur qu'il peut mettre à niveau son PC vers Windows 11 sans frais supplémentaire : "Mise à jour gratuite vers la dernière version de Windows 11".

"Une fois invités à le faire, les utilisateurs pourront opter pour Windows 11, version 23H2, ou rester sous Windows 10. Bien entendu, nous recommandons Windows 11 !", précise Microsoft. Vous avez donc la possibilité de rester sur Windows 10, même si l'écran d'invitation sera conçu pour que vous décidiez de passer sur Windows 11. Voici à quoi ressemblera cet écran d'invitation :

Il est à noter que ce message sera diffusé sur tous les appareils Windows 10 Pro et Windows 10 Pro Workstation intégré à un domaine Active Directory ou joint à un tenant Microsoft Entra ID, et qui ne sont pas gérés par un outil tel que Intune, Configuration Manager, Windows Autopatch, WSUS ou un autre outil de gestion tiers. En complément, la machine doit respecter les prérequis de Windows 11.

Les machines inscrites dans WSUS sont bien considérées comme gérées comme l'explique Microsoft : "Les appareils gérés sont ceux que vous gérez via Microsoft Intune, Configuration Manager, Windows Autopatch, Windows Update for Business, Windows Server Update Services (WSUS) ou d'autres outils de gestion tiers. Les autres appareils sont considérés comme non gérés."

L'occasion de rappeler que Windows 10 Pro ne sera plus pris en charge par Microsoft à partir du 14 octobre 2025.

Source

The post Utilisateurs de Windows 10 Pro, Microsoft va vous inviter à passer sur Windows 11 first appeared on IT-Connect.